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PROC^DE DE CONTRE-MESURE DANS UN COMPOSANT 
ELECTRONIQUE METTANT EN OEUVRE UN ALGORITHME DE 
CRYPTOGRAFKIE A CL& SECRETE 

La presents invention concerne un procfede de 
contre-mesure dans un composant electronique mettant en 
oeuvre un algorithme de cryptographie a cl6 secrete, 
lis sont utilises dans des applications oH I'acces a 
des services ou a des donnees est sever ement contr61e. 
lis ont une architecture formee autour d'un 
microprocesseur et de memoires, dont une memoire 
programme qui contient la cle secrete. 

Ces composants sont notamment utilises dans les 
cartes a puce, pour certaines applications de celles- 
ci» Ce sont par exemple des applications d'accSs & 
certaines banques de donnees, des applications 
bancaires, des applications de t616p6age, par exemple 
pour la tSlSvision, la distribution d' essence ou encore 
le passage de peages d ' autor outes • 

Ces composants ou ces cartes mettent done en oeuvre 
un algorithme de cryptographie a cle secrete, dont le 
plus connu est 1' algorithme DES (pour Data Encryption 
Standard dans la litterature anglo-saxonne) . D^autres 
algorithmes a cle secrete existent, comme 1' algorithme 
RC5 ou encore 1' algorithme COMP128, Cette liste n'est 
bien sQr pas exhaustive. 

De maniere genSrale et succincte, ces algorithmes 
ont pour fonction de calculer un message chiffrS & 
partir d'un message applique en entree (a la carte) par 
un systdme hote (serveur, distributeur bancaire. ... ) et 
de la cle secrete contenue dans la carte, et de fournir 
en retour au systeme hote ce message chiffre, ce qui 
permet par exemple au systeme hote d' authentif ier le 
composant ou la carte, d'echanger des donnees... 
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Or il est apparu que ces composants ou ces cartes 
sont vulnerables a des attaques consistant en une 
analyse dif f erentielle de consommation en courant et 
qui permettent a des tiers mal intentionnSs de trouver 
la cl§ secrdte. Ces attaques sont appelfees attaques 
DPA, acronyme anglo-saxon pour Differential Power 
Analysis . 

Le principe de ces attaques DPA repose sur le fait 
que la consommation en courant du microptocesseur 
executant des instructions varie selon la donn^e 
manipulee. 

Notaiament, une instruction du laicroprocesseur 
manipulant un bit de donnee gSnere deux prof i Is de 
courant differents selon que ce bit vaut "1" ou "0". 
Typiquement, si 1 ' instruction manipule un "0", on a a 
cet instant d' execution une premiere amplitude du 
courant consomme et si 1' instruction manipule un "1", 
on a une deuxieme amplitude du courant consomme, 
differente de la premiere • 

Les caracteristiques des algorithmes de 
cryptographie sont connues : calculs effectues, 
param&tres utilises. La seule inconnue est la cle 
secrete contenue en mfemoire programme. Celle-ci ne peut 
Stre deduite de la seule connaissance du message 
applique en entree et du message chiffrfe fourni en 
retour • 

Cependant, dans un algorithme de cryptographie, 
certaines donnees calculees dependent seulement du 
message applique en clair en entree de la carte et de 
la cle secrete contenue dans la carte, D'autres donnfees 
calculees dans . 1 ' algorithme peuvent aussi dtre 
recalculees seulement a partir du message chiffre 
(generalement fourni en clair en sortie de la carte 
vers le systeme hote) et de la cle secrete contenue 
dans la carte. Plus precis^ment, chaque bit de ces 
donnSes particulieres peut Stre determine a partir du 
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message d'entrSe ou de sortie, et d'un nombre limits de 
bits particuliers de la cle, 

Ainsi, a chaque bit d'une donnee particuliere, 
correspond une sous-cle formfie par un groupe 
particulier de bits de la cle. 

Les bits de ces donnees particulieres qui peuvent 
etre prSdites sont appeles dans la suite, bits cibles. 

L'idee de base de I'attaque DPA est ainsi 
d'utiliser la difference du profil de consommation en 
courant d'une instruction selon qu'elle manipule un "1" 
ou un "O" et la possibilite de calculer un bit cible 
par les instructions de I'algorithme a partir d'un 
message connu d' entree ou de sortie et d'une hypothese 
sur la sous-cle correspondante . 

Le principe de I'attaque DPA est done de tester une 
hypothese de sous-cle donnee, en appliquant sur un 
grand nombre de courbes de mesure en courant, chacune 
relative a un message d' entree connu de I'attaquant, 
une fonction booleenne de selection, fonction de 
1 'hypothese de sous-cle, et definie pour chaque courbe 
par la valeur predite pour un bit cible. 

En faisant une hypoth&se sur la sous-cl6 concernee, 
on est en effet capable de predire la valeur "0" ou "1" 
que va. prendre ce bit cible pour un message d' entree ou 
de sortie donn6« 

On peut alors appliquer comme fonction booleenne de 
selection, la valeur predite "0" ou "1" par le bit 
cible pour 1' hypothese de sous-cle consideree, pour 
trier ces courbes en deux paquets : un premier paquet 
regroupe les courbes qui ont vu la manipulation du bit 
cible a "0" et un deuxieme paquet regroupe les courbes 
qui ont vu la manipulation du bit cible a "1" selon 
1' hypothese de sous-cle. En faisant la moyenne de 
consommation en courant dans chaque paquet, on obtient 
une courbe de consommation moyenne MO(t) pour le 
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premier paquet et une courbe de consommation xnoyenne 
Ml(t) pour ie deuxifeme paquet. 

Si I'hypothese de sous-cle est juste, le premier 
paquet regroupe reel lament toutes les courbes parmi les 
N courbes qui ont vu la manipulation du bit cible a "0" 
et le deuxieme paquet regroupe reellement toutes les 
courbes parmi les N courbes qui ont vu la manipulation 
du bit cible a "1". La courbe moyenne de consommation 
MO(t) du premier paquet aura alors une consommation 
moyenne partout sauf aux moments de 1' execution des 
instructions critiques^ avec un profil de consommation 
en courant caractferistique de la manipulation du bit 
cible a "0" (prof IIq) . En d'autres termes, pour toutes 
ces courbes tous les bits manipules ont eu autant de 
chances de valoir "0" que de valoir "1", sauf le bit 
cible qui a toujours eu la valeur "O"* Ce qui peut 
s^ecrire : 

MO(t)=[(profilQ+profil3^)/2]^^^^i + [profilol^ci ^oit 
MO(t)-[Vmt]t;ttci ^ [P^^fi^oltci 

ou tci represente les instants critiques, auxquels une 
instruction critique a 6te exfecut^e. 

De meme, la courbe moyenne de consommation Ml(t) du 
deuxifeme paquet correspond a une consommation moyenne 
partout sauf aux moments de 1' execution des 
instructions critiques, avec un profil de consommation 
en courant caracteristique de la manipulation du bit 
cible a "1" (prof il^^) • On peut ecrire : 
Ml(t)=[(profilo"Hprofil-L)/2]t;6tci [P^ofi^lltci ^^^^ 
Ml(t)=[Vmt]t^t^i + [profiljtci 

On a vu que les deux profils profilg et profil^^ ne 
sont pas egaux- La difference des courbes MO(t) et 
Ml(t) donne alors un signal DPA(t) dont I'amplitude est 
egale a prof ilQ-prof il^^ aux instants critiques tci 
d' execution des instructions critiques manipulant ce 
bit, c'est a dire, dans I'exemple represents sur la 
figure 1, aux endroits tcO S tc6 et dont 1' amplitude 
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est a peu pr^s egale a zSro en dehors des instants 
critiques. 

Si I'hypothese de sous-cle est fausse, le tri ne 
correspond pas a la rSalite. Statistiquement , il y a 
alors dans chaque paquet, autant de courbes ayant vu 
reellement la manipulation du bit cible a "0" que de 
courbes ayant vu la mainipulation du bit cible a "1". La 
courbe moyenne resultante MO(t) se situe alors autour 
d'une valeur moyenne donnee par (prof ilQ+prof il^^) /2=Vin, 
car pour chacune des courbes, tous les bits manipul^s, 
y compris le bit cible ont autant de chances de valoir 
"0" que de valoir "1". 

Le m€me raisonnement sur le deuxieme paquet conduit 
a une courbe moyenne de consoramation en courant Ml(t) 
dont 1' amplitude se situe autour d'une valeur moyenne 
donnee par (prof ilQ+prof il^^) /2=Vm. 

Le signal DPA(t) fourni par la difference MO(t)- 
Ml(t) est dans ce cas sensiblement egal a zero. Le 
signal DPA(t) dans le cas d'une hypothese de sous-cl§ 
fausse est repr^sente sur la figure 2. 

Ainsi I'attaque DPA exploite la difference du 
profil de consommation en courant pendant 1' execution 
d'une instruction suivant la valeur du bit manipule, 
pour effectuer un tri de courbes de consommation en 
courant selon une fonction de selection booleenne pour 
une hypothese de sous-cle donnfee. En effectuant une 
analyse dif f erentielle de la consommation moyenne en 
courant entre les deux paquets de courbes obtenus, on 
obtient un signal d' information DPA(t) . 

Le deroulement d'une attaque DPA consiste alors 
globalement: 

a- a tirer N messages aleatoires (par exemple N 
egal 1000) ; 

b- a faire exScuter I'algorithme par la carte pour 
chacun des N messages aleatoires, en relevant la courbe 
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de consommation en courant a chaque fois (xnesuree sur 
la borne d' alimentation du composant) ; 

c- a faire une hypothese sur une sous-cle; 

d- a predire, pour chacun des messages aleatoires, 
la valeur prise par un des bits cibles dont la valeur 
ne depend que des bits du message (d' entree ou de 
sortie) et de la sous-cle prise en hypothese, pour 
obtenir la fonction de selection booleenne; 

e- a trier les courbes selon cette fonction de 
selection booleenne (c'est a dire selon la valeur "0" 
ou "1" predite pour ce bit cible pour chaque courbe 
sous I'hypothfese de sous-cle); 

f- a calculer dans chaque paquet la courbe 
r§sultante de consommation moyenne en courant; 

g- a effectuer la difference de ces courbes 
moyennes, pour obtenir le signal DPA(t) . 

Si 1 'hypothese sur la sous-cle est juste, la 
fonction de selection booleenne est juste et les 
courbes du premier paquet correspondent rSellement aux 
courbes pour lesquelles le message appliqufe en entrSe 
ou en sortie a donn§ un bit cible a "0" dans la carte 
et les courbes du deuxidme paquet correspondent 
reellement aux courbes pour lesquelles le message 
applique en entree ou en sortie a donne un bit cible a 
"1" dans la carte. 

On est dans le cas de la figure 1 : le signal 
DPA{t) n'est done pas nul aux instants tcO a tc6 
correspondant a 1' execution des instructions critiques 
(celles qui manipulent le bit cible) . 

On notera que I'attaquant n'a pas besoin de 
connaltre avec precision les instants critiques. II 
suffit qu'il y ait au moins un instant critique dans la 
periode d' acquisition. 

Si 1 'hypothese de sous-cle n'est pas juste, le tri 
ne correspond pas a la r^alite et on a alors dans 
chaque paquet autant de courbes correspondant en 
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realit:e a un bit cible a "0" que de courbes 
correspondant a un bit cible a "1". Le signal DPA(t) 
est sensiblement nul partout (cas represents a la 
figure 2). II faut retourner a I'etape c- et faire une 
nouvelle hypothese sur la sous-cle. 

Si I'hypothSse s'avere juste, on peut passer a 
1' evaluation d'autres sous-cles, jusqu'a avoir 
reconstitue la cle au luaximuin. Par exemple, avec un 
algorithme DES, on utilise une cle de 64 bits, dont 
seulement 56 bits utiles. Avec une attaque DPA, on est 
capable de reconstituer au moins 48 bits des 56 bits 
utiles. 

La prfesente invention a pour l?ut de mettre en 
oeuvre dans un composant electronique, un precede de 
contre-mesure qui entralne un signal DPA(t) nul, meme 
dans le cas oH 1' hypothese de sous-cle est juste. 

De cette fagon, rien ne permet de distinguer le cas 
de 1' hypothese de sous-cle juste des cas d' hypotheses 
de sous-cle fausses. Par cette contre-mesure, le 
composant electronique est parS centre les . attaques 
DPA. 

Mais dans 1 ' invention , on s ' est rendu compte qu' il 
ne suffisait pas de faire en sorte que le signal DPA(t) 
soit nul relativement a un bit cible donne. 

En effet, si on considere la valeur prise par 
plusieurs bits cibles d'une m^me donnee manipulee par 
les instructions critiques, on va devoir trier les 
courbes non plus en deux paquets, mais en plusieurs 
paquets. On n'a plus une fonction de selection binaire. 
On peut inontrer qu'en regroupant ensuite ces paquets 
d'une maniere ou d'une autre, on peut obtenir un signal 
DPA(t) non nul dans le cas d'une hypothese de sous-cle 
juste, alors qu'il aurait et6 nul si I'on aviat trie 
selon une fonction de selection binaire sur un seul bit 
cible. 
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Prenons par exeinple deux bits cibles d'une meme 
donnee. Ces deux bits cibles peuvent prendre les 2^ 
valeurs suivantes : "00", "01", "10" et "11". 

En appliquant la fonction de selection aux N=1000 
courbes de consommation en courant mesurees, on obtient 
quatre paquets de courbes. Si le tri est juste, un 
premier paquet de 25 0 courbes environ correspond a la 
valeur "00", un deuxieme paquet de 250 courbes environ 
correspond a la valeur "01", un troisiSme paquet de 
250 courbes environ correspond a la valeur "10" et un 
quatrieme paquet de 250 courbes environ correspond a la 
valeur "11". 

Si on regroupe les premier et quatrieme paquets 
dans un premier groupe et les deuxifeme et troisieme 
paquets dans un deuxi&me groupe, on obtient deux 
groupes qui ne sont pas equivalents. 

Dans le premier groupe, les deux bits ont autant de 
chances de valoir "00" que de valoir "11". La valeur 
moyenne aux instants critiques de toutes. les courbes de 
consommation de ce groupe peut s'ecrire : 
Ml (t^i)==[consommation("00") + consommation ("ll")]/2 

Dans le deuxifeme groupe, les deux bits ont autant 
de chances de valoir "01" que de valoir "10". La valeur 
moyenne aux instants critiques de toutes les courbes de 
consommation de ce groupe peut s'Scrire : 
M2 (tj2i)=[consommation("01") + consommation ("10")]/2 

Si on fait la difference entre ces deux moyennes, 
on obtient un signal DPA(t) non nul. En d'autres 
termes, les deux groupes dont on compare les 
consommations moyennes n'ont pas un contenu equivalent. 

Dans 1' invention, on a done cherche S empecher 
I'obtention d'un quelconque signal significatif au sens 
de I'attaque DPA. Quel que soit le nombre de bits 
cibles pris, quelle que soit la combinaison de paquets 
effectufee pour faire la comparaison des consommations 
moyennes, le signal DPA(t) sera tou jours nul. II faut 
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done obtenir des paquets equivalents, quel que soit le 
nombre de bits cibles considerSs. 

Une solution a ces differents problfemes techniques 
a Ste trouv6e dans I'utilisation d'une valeur aleatoire . 
5 dans une operation de OU EXCLUSIF avec I'une et/ou 
1' autre des donnees d' entree et de sortie de moyens 
utilises dans 1' algorithme. 

Avec une utilisation selon 1' invention d'une telle 
valeur aleatoire, les donnees manipulees par les 

10 instructions critiques deviennent impredictibles tout 
en ayant un rfesultat juste en sortie de 1 'algorithme. 

Telle que caracterisee, 1' invention concerne done 
un proced§ de contre-mesure dans un composant 
electronique mettant en oeuvre un algorithme 

15 cryptograph ique & cle secrete, la mise en oeuvre de 
1' algorithme comprenant 1 'utilisation de premiers 
moyens pour fournir une donnee de sortie a partir d'une 
donnee d' entree, la donnee de sortie et/ou des donnees 
derivees etant manipulees par des instructions 

20 critiques. Selon 1' invention, le procSde de contre- 
mesure pr^voit 1 'utilisation d'autres moyens, en sorte 
que la donnee de sortie et les donnees deriv§es soient 
impredictibles, ces autres moyens etant obtenus des 
dits premier moyens par une operation de OU EXCLUSIF 

25 avec une valeur alfeatoire ou une valeur aleatoire 
' derivee suir I'une et/ou sur 1' autre des donnees 
d' entree et de sortie des dits premiers moyens ♦ 

D' autres caracteristiques et avantages de 
1' invention sont detailles dans la description suivante 

30 faite a titre indicatif et nullement limitatif et en 
reference aux dessins annexes, dans lesquels : 

- les figures 1 et 2 d6ja decrites representent le 
signal DPA(t) que I'on peut obtenir en fonction d'une 
hypothese sur une sous-clS de la cle secrdte K, selon 

35 une attaque DPA; 
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- les figures 3 et 4 sont des organ i grammes 
dfetailles des premiers et derniers tours de 
I'algorithme DES; 

- la figure 5 est un schema-bloc de 1' operation 
SBOX utilisfee dans I'algorithme DES; 

- la figure 6 montre un exemple de table de 
constantes el^mentaire a une entree et une sortie 
utilisSe dans 1' operation SBOX; 

- la figure 7 represent e un premier exemple 
d'organigramme d' execution du DES avec un procedS de 
contre-mesure selon 1' invention; 

- la figure 8 est un organigramme des premiers 
tours du DES correspondant; 

- les figures 9 et 10 representent respect ivement 
un organigramme d' execution du DES et un organigramme 
detaiHe des premiers tours, dans un deuxieme mode 
d' application du precede de centre mesure selon 
1' invention; 

- les figures 11 et 12 correspondent a un troisieme 
mode d' application du precede de centre mesure selon 
1' invention; 

- la figure 13 reprfesente un organigramme 
d' execution du DES dans une variante du troisieme mode 

d' application; 

- Xa figure 14 repr^sente un schSma-bloc simplifie 
d'une carte a puce comportant un composant electronique 
dans lequel le precede de contre-mesure selon 
1' invention est mis en oeuvre. 

L'algorithme cryptographique a cle secrete DES 
(dans la suite on parlera plus simplement du DES ou de 
l'algorithme DES) comporte 16 tours de calcul, notfes Tl 
a T16, comme represente sur les figures 3 et 4. 

Le DES debute par une permutation initiale IP sur 
le message d'entree M (figure 3). Le message d'entree M 
est un mot f de 64 bits. Apres permutation, on obtient 
un mot e de 64 bits, que I'on coupe en deux pour former 



wo 00/27068 



11 



PCT/FR99/02660 



les paramfetres d' entree LO et RO du premier tour (Tl) . 
LO est un mot d de 3 2 bits contenant les 32 bits de 
poids forts du mot e. RO est un mot h de 32 bits 
contenant les 3 2 bits de poids faibles du mot e. 

La clS secrete K, qui est un mot q de 64 bits subit 
elle-meme une permutation et une compression pour 
fournir un mot r de 56 bits. 

Le premier tour comprend une operation EXP PERM sur 
le parametre RO, consistant en une expansion et une 
permutation, pour fournir en sortie un mot 1 de 48 
bits . 

Ce mot 1 est combine a un parametre Kl, dans une 
operation de type OU EXCLUSIF notee XOR, pour fournir 
un mot b de 48 bits* Le paramStre Kl qui est un mot m 
de 4 8 bits est obtenu du mot r par un decalage d'une 
position (operation notee SHIFT sur les figures 3 et 4) 
suivi d'une permutation et d'une compression (operation 
notee COMP PERM) . 

Le mot b est applique a une operation not6e SBOX, 
en sortie de laquelle on obtient un mot a de 32 bits. 
Cette operation particuliere sera expliquee plus en 
detail en relation avec les figures 5 et 6. 

Le mot a subit une permutation P PERM, donnant en 
sortie le mot c de 32 bits- 

Ce mot c est combing au parametre d' entree LO du 
premier tour Tl, dans une operation logique de type OU 
EXCLUSIF, notee XOR, qui fournit en sortie le mot g de 
32 bits. 

Le mot h (=R0) du premier tour fournit le parametre. 
d' entree LI du tour suivant (T2) et le mot g du premier 
tour fournit le parametre d' entree Rl du tour suivant. 
Le mot p du premier tour fournit 1' entree r du tour 
suivant. 

Les autres tours T2 S T16 se deroulent de fagon 
similaire, excepts en ce qui concerne l'op§ration de 
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dScalage SHIFT qui se fait sur une ou deux positions 
selon les tours consideres. 

Chaque tour Ti reqoit ainsi en entree les 
parametres Li-1, Ri-1 et r et fournit en sortie les 
parametres Li et Ri et r pour le tour suivant Ti+1. 

En fin d' algorithme DES (figure 4), le message 
chiffri est calcule a partir des parametres L16 et R16 
fournis par le dernier tour T16. 

Ce calcul du message chiffre C comprend en pratique 
les operations suivantes : 

- formation d'un mot e' de 64 bits en inversant la 
position des mots Lie et R16, puis en les concatSnant; 

- application de la permutation IP"^ inverse de 
celle de d6but de DES, pour obtenir le mot f de 64 
bits formant le message chiffrS C. 

L' operation SBOX est detaillee sur les figures 5 et 
6. Elle comprend une table de constantes TCq pour 
fournir une donnee de sortie a en fonction d'une donn§e 
d' entree b. 

En pratique, cette table de constantes TCq se 
presente sous la forme de huit tables de constantes 
elementaires TCqI a TCq8, chacune recevant en entree 
seulement 6 bits du mot b, pour fournir en sortie 
seulement 4 bits du mot a. 

Ainsi, la table de constante elementaire TCqI 
representee sur la figure 6 revolt comme donnfee 
d'entrSe^ les bits bl a b6 du mot b et fournit comme 
donnee de sortie les bits al a a4 du mot a. 

En pratique ces huit tables de constantes 
0 elementaires TCqI a TCq8 sont memorisees en memoire 
programme du composant electronique. 

Dans 1' operation SBOX du premier tour Tl, un bit 
particulier de la donnee a de sortie de la table de 
constante TCq depend de seulement 6 bits de la donnee b 
5 appliquSe en entree, c'est a dire de seulement 6 bits 
de la cl6 secrSte K et du message d' entree (M) . 
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Dans 1' operation SBOX du dernier tour T16, un bit 
particulier de la donn§e a de sortie de la table de 
constante TCq peut etre recalculfe a partir de seulement 
6 bits de la cle secrete K et du message chif fre (C) . 

Or si on reprend le principe de I'attaque DPA, si 
on choisit un ou des bits de la donnee de sortie a 
comme bits cibles, il suffit de faire une hypothese sur 
6 bits de la cle K, pour predire la valeur du ou des 
bits cibles pour un message d'entrSe (M) ou de sortie 
(C) donnS. En d'autres termes, pour le DES, il suffit 
de faire une hypothfese sur une sous-cle dc 6 bits* 

Dans une attaque DPA sur un tel algorithme pour un 
ensemble de bits cibles donnS issu d'une table de 
constantes el^mentaire donnee, on a done a discriminer 
une hypothese de sous-cle juste parmi 64 possibles, 

Ainsi, a partir des bits de sortie des huit tables 
de constantes elementaires TCqI a TCq8, on peut 
decouvrir jusqu'a 8x6=4 8 bits de la cle secrete, en 
faisant des attaques DPA sur des bits cibles 
correspondants . 

Dans le DES, on trouve done des instructions 
critiques au sens des attaques DPA au d^but de 
1' algorithme et Sl la fin. 

Au debut de 1' algorithme DES, les donnees qui- 
peuvent etre predites a partir d'un message d' entree M 
et d'une hypothese de sous-cle, sont les donnees a et g 
calculees dans le premier tour (Tl) • 

La donnee a du premier tour Tl (figure 3) est la 
donnee de sortie de 1' operation SBOX du tour considfere. 
La donnee g est calculee a partir de la donnee a, par 
permutation (P PERM) et operation OU EXCLUSIF avec le 
parametre d' entree LO. 

En fait, la donnSe c du premier tour, est une 
donnee derivee de la donnSe a du premier tour. La 
donnee derivee c correspond a une simple permutation de 
bits de la donnee a. 
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La donn6e 1 du deuxieme tour est une donnee deriv6e 
de la donnee g du premier tour, car elle correspond a 
une permutation des bits du mot g, certains bits du mot 
g etant en outre dupliqu6s. 

Connaissant a et g, on peut aussi connaitre ces 
donnees d^rivees. 

Les instructions critiques du debut de I'algorithme 
sont les instructions critiques qui manipulent soit la 
donnee que I'on peut predire, comme la donnSe a ou la 
donnee g du premier tour, soit une donnee d§riv6e* 

Les instructions critiques manipulant la donnee a 
du premier tour Tl ou la donnee d^rivee c sont ainsi 
les instructions de fin de 1' operation SBOX, de 
1' operation P PERM et de debut de 1' operation XOR du 
premier tour Tl.. 

Les instructions critiques manipulant la donnee g 
ou des donnees derivees sont toutes les instructions de 
fin d' operation XOR de fin du premier tour Tl jusqu'aux 
instructions de debut d' operation SBOX du deuxieme tour 
T2, et les instructions de debut de 1' operation XOR en 
fin du troisiSme tour T3 ( L2 = h(T2) = g(Tl) )- 

En fin d'algorithme DES, les donnfees qui peuvent 
§tre prfedites a partir d'un message chiffre C et d'une 
hypothSse de sous-cle, sont la donnee a du seizifeme 
tour T16 et la donnfee L15 6gale au mot h du quatorzifeme 
tour T14 . 

Les instructions critiques manipulant la donnee a 
du seizieme tour ou des donnees derivees sont les 
instructions du seizieme tour de fin d' operation SBOX, 
de 1' operation de permutation P PERM et de dSbut 
d' operation XOR- 

Pour la donnfee L15, les instructions critiques 
manipulant cette donnee ou des donnees derivees sont 
toutes les instructions depuis les instructions de fin 
d'operation XOR en fin du quatorzieme tour T14, 
jusqu'aux instructions de d6but d'operation SBOX du 
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quinzifeme tour T15, plus les instructions de dfebut 
operation XOR en fin de seiziSme tour T16. 

Le proc6d6 de contre-mesure selon 1 ' invention 
applique a cet algorithme DES consiste a rendre 
5 iinpredictible chacune des donn§es inanipul§es par les 
instructions critiques. Ainsi, quel que soit le ou les 
bits cibles utilises," le signal DPA(t) sera toujours 
nul. 

En ce qui concerne 1' application du procfede de 
10 contre-mesure selon 1' invention h 1 ' algorithme DES, il 
faut done appliquer la contre-mesure aux instructions 
critiques de dSbut de DES et aux instructions critiques 
de fin de DES, pour dtre totalement protege. 

Dans le DES, toutes les donnees manipulees par des 
15 instructions critiques sont une donnee de sortie ou des 
donnees derivees d'une donnee de sortie d'une operation 
SBOX* 

En effet, en debut de DES, les donnees qui peuvent 
etre predites sont les donnees a et g du premier tour 

20 Tl. La donnee a est la donnee de sortie de 1' operation 
SBOX du premier tour. La donnSe g est calculee a partir 
de la donnee a, puisque g = P PERM (a) XOR LO. g est 
done une donnee d^riv^e de la donnee de sortie a de 
1' operation SBOX du premier tour. Ainsi, toutes les 

25 donnees manipulees par les instructions critiques de 
debut de DES decoulent directement ou indirectement de 
la donnee de sortie a de 1' operation SBOX du premier 
tour . 

En ce qui concerne la fin de DES, les donnees qui 
30 peuvent etre predites sont la donnee a du seizieme tour 
T16 et la donnee g du quatorzieme tour T14 , g etant 
egale a L15. 

La donnee a est la donnee de sortie de 1' operation 
SBOX du seizieme tour T16. 
35 Quant a la donnee L15, elle se calcule, dans 

1' execution normale de 1' algorithme DES, a partir de la 
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donnge de sortie a de 1' operation SBOX du quatorzieme 
tour T14 : L15 = P PERM(a) XOR L14. 

Si on rend imprSdictibles les donn§es de sortie a 
de ces operations SBOX particulieres , on rend aussi 
impredictibles toutes les donnees derivees : on rend 
done impredictibles toutes les donnees manipulees par 
les instructions critiques de 1 ' algorithme DES. Si on 
considfere que ces operations SBOX constituent des 
premiers moyens pour fournir une donnee de sortie S=a ^ 
partir d'une donnSe d' entree E=b, le procede de centre- 
mesure appliqu6 a I'algorithme DES consiste a utiliser 
d'autres moyens pour rendre impredictibles la donnfee de 
sortie, en sorte que cette donnee de sortie et/ou des 
donnees derivees manipulees par les instructions 
critiques soient toutes impredictibles. 

Ces autres moyens peuvent comprendre differents 
moyens. lis sont calcules a partir des premiers moyens 
en appliquant un OU exclusif avec une valeur aleatoire 
ou une valeur aleatoire derivee sur I'une et/ou sur 
1' autre des donnees d' entree et de sortie des premiers 
moyens • 

li' utilisation de cette valeur aleatoire est telle 
que le resultat en sortie, c'est a dire, le message 
chiffrS reste juste. 

La figure 7 represente un premier mode de 
realisation de 1 invention. Dans ce mode de 
realisation, on repartit les seize tours de 
I'algorithme DES en quatre groupes Gl a G4 de quatre 
tours successifs. Le groupe Gl comprend ainsi les tours 
Tl a T4, le groupe G2, les tours T5 a T8 , le groupe G3, 
les tours T9 a T12 et le groupe 04 , les tours T13 h 
T16. 

Dans une execution classique de I'algorithme DES, 
on a vu que chaque tour comprend 1 'utilisation de 
premiers moyens TCq dans une op§ratibn SBOX* 
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Dans le premier mode application du proc6de de 
contre-mesure, on calcule d'autres moyens en faisant uh 
OU EXCLUSIF avec une valeur aleatoire u et/ou avec une 
valeur derivfee e(p(u)) sur I'une et/ou I'autre des 
donnees d'entrfee et de sortie des premiers moyens TCq. 
Puis on applique une sequence SEQA d' execution 
identique sur chaque groupe, qui consiste a utiliser 
ces autres moyens calcules. 

Selon 1' invention, on utilise une valeur al6atoire 
u qui est une donnee de 32 bits. On peut par exemple 
tirer une valeur aleatoire de 32 bits, ou bien tirer 
une valeur aleatoire de 4 bits et les recopier 8 fois 
pour obtenir la valeur alfeatoire u sur 32 bits. 

on calcule alors la variable d6riv6e egale a 
e(P(u))# P(u) correspond au rSsultat de 1' operation 

P PERM appliquee sur la valeur u et oxl e(p(u)) est le 
resultat de 1' operation EXP PERM appliquee a la valeur 
P(u). 

On peut alors calculer les autres moyens utilises 
dans 1' invention. 

Dans 1' exemple represents en ref&rence Sl la figure 
7, ces autres moyens comprennent des deuxiSmes moyens 
et des troisiemes moyens TC^^. 

Les deuxi&mes moyens TC2 sont utilises dans 1& 
deuxiSme tour et 1 ' ayant-dernier tour de chaque 
groupe : c'est ^ dire, dans T2 , T3 de Gl, T6, T7 de G2 , 
TIO, Til de G3 et T14 et T15 de G4 . 

Les deuxiemes moyens TC2 sont utilises dans le 
deuxieme tour et 1 ' avant-dernier tour de chaque 
groupe : c'est a dire, dans T2 , T3 de Gl, T6, T7 de G2, 
TIO, Til de G3 et T14 et T15 de G4 . 

Les deuxifemes moyens TC2 sont calculus en 
appliquant un OU EXCLUSIF avec la variable aleatoire 
derivee e(p(u)) sur la donnee d'entree E et . en 
appliquant un OU EXCLUSIF avec la valeur aleatoire u 
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sur la donnee de sortie S des premiers inoyens TCq, ce 
qui peut s'ecrire : TC2=(Efe(p(u) ) , S^) . 

Les troisiemes moyens TC^ sont utilises dans le 
premier tour et le dernier tour de chaque groupe. C'est 
5 a dire dans Tl, T4 de Gl, T5, T8 de G2, T9 , T12 de 03 
et T13, T16 de G4. 

Les troisiemes moyens TC^ sont calcules en 
appliquant un OU EXCLUSIF avec la variable aleatoire u 
sur la donnee de sortie S des premiers moyens TCq, ce 
0 qui peut s'ecrire : TC^=(E, S^) . 

Le programme de calcul consiste alors au d§but de 
1' execution de I'algprithme, a tirer une valeur 
aleatoire u, dans I'exemple sur 4 bits, a calculer la 
variable aleatoire d^rivee e(p(u)), puis a calculer les 
5 differents moyens utilises dans la sequence d' execution 
SEQA- Dans I'exemple, il faut calculer les deuxiemes et 
troisiemes moyens TC2 et TC^, 

On obtient, a la sortie de chaque groupe, le 
resultat juste pour les parametres de sortie. Ainsi, 
20 les param&tres de sortie L4 et R4 du premier groupe Gl, 
LB et R8 du deuxieme groupe G2, L12 et R12 du troisieme 
groupe G3 , L16 et R16 du quatrieme groupe G4 sont 
justes quelle que soit la variable aleatoire tiree. 

Quand on a effectue tous les tours ^ on obtient lea 
25 parametres justes L16 et R16 qui vont permettre de 
calculer le message chiffre C juste. 

Par contre, a I'interieur des groupes, certains 
resultats intermediaires n'ont pas les memes valeurs 
selon la sequence utilisee, mais des valeurs 
30 correspondant a l'op§ration OU EXCLUSIF avec la valeur 
aleatoire u ou avec la valeur aleatoire derivee 
e{p(u)), comme on va le montrer par reference aux 
figures 3 et 8 . 

La figure 8 montre I'organigramme d^taille des 
35 quatre tours Tl, T2, T3 et T4 du premier groupe Gl, 
dans la sequence SEQA d'ex^cution selon 1' invention- 
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Dans cette sequence, le tour Tl utilise les 
troisiemes moyens TC-|^. En sortie de 1' operation SBOX; 
on obtient done la donnee modifiee aleatoirement a^ 
(Figure 8) , au lieu de la donnee a selon la sequence 
5 normale du DES, c'est a dire sans contre-^mesure (Figure 
3). 

Avec la sequence SEQA d' execution selon 
1' invention, 1' operation P PERM du premier tour Tl qui 
est une simple permutation va done 6galement fournir en 
10 sortie une donnee modifiee aleatoirement §gale a 
c^(u). 

La donnee qui est pbtenue par 1' operation XOR entre 
une donnee c^(u) et la donnee LO, va aussi fournir en 
sortie une donnee modifiee aleatoirement g^(u) . Cette 
15 donnee appliquee a 1' operation EXP PERM va fournir en 
sortie la donnee modifiee aleatoirement notee 
iefe(p(u)). 

Ainsi, avee les troisiemes moyens TC^^ du tour Tl on 
obtient toutes les donnSes modififees aleatoirement 
20 suivantes : 

- dans le tour Tl : a^, c^(u), g^(u); 

-dans le tour T2 : Rl^(u) , h^(u) , l®B(p(u), 
bee(p(u) ; 

- dans le tour T3 : L2^(u) . 

25 On arrive alors aux deuxiemes moyens utilises 

dans le tour T2 . D'apres leur definition : E^(p(u), 
en appliquant en entree la donnee modifiee 
aleatoirement b®s(p(u) , on obtient en sortie la donnee 
modifiee aleatoirement a©a. En conduisant ce 

30 raisonnement jusqu'a la fin du tour T4, et en 
remarquant que p(u)^(u)=0, on obtient en sortie du 
tour T4, les donnees L4 , R4 non modifiees. 

En outre, on constate que pour toutes les 
instructions critiques de dfebut de DES, les 

35 instructions critiques vont manipuler, des donnees 
modififees de manidre aleatoire. 
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Avec un tel procfede de contre-mesure , on doit 
prevoir en debut de DES le tirage de la valeur 
aleatoire u et le calcul des moyens utilises dans la 
sequence d'execution SEQA, Ces moyens calcules a chaque 
5 execution du DES, sont memorises, le temps de 
1' execution, en memoire de travail, les premiers moyens 
TCq qui servent au calcul etant eux memorises en 
memoire programme. 

En revenant a la figure 7, on pourra noter, que 
LO I'on n'a pas besoin de contre-mesure dans les groupes 
du milieu G2 et G3 , puisqu'ils ne contiennent pas 
d' instructions critiques au sens attaque DPA. On 
pourrait done n'appliquer la sequence d' execution SEQA 
du precede de contre-mesure qu'au premier et au dernier 
15 groupe Gl et G4 • II suffirait d'utiliser ensuite les 
premiers moyens (TCq) dans les groupes G2 et G3 • 

Mais le fait de d'appliquer le precede de contre- 
mesure a tous les groupes donne une coherence a 
1' ensemble. 

20 Ainsi, on applique la sequence SEQA a chacun des 

groupes Gl a G4. 

Un deuxifeme mode de realisation du precede de 
contre-mesure est representee sur la figure 9. Ce 
deuxieme mode de realisation est en fait une variante. 

25 du premier. 

L'interet de cette variante est de n'utiliser comme 
autres moyens dans la sequence SEQA, que les deuxiemes 
moyens . En effet, on a vu que les differents moyens 
TCq, TC^^, TC2 correspondent en pratique a des tables de 

3 0 constantes comprenant chacune huit tables de constantes 
felfementaires, qu'il faut recalculer en ce qui concerne 
les moyens TC-^ et TC2 a chaque nouvelle execution du 
DES, et garder en mSmoire de travail. 

Cette variante consiste done a utiliser uniquement 

3 5 les deuxiemes moyens TC2 dans la sequence SEQA, Pour 
cela, on pr6voit dans le programme de calcul des 
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premiers et derniers tours de chaque groups, une 
operation OU EXCLUSIF supplementaire CP avec la 
variable aleatoire d§rivee e(p(u)), pour obtenir en 
entree des deuxiemes moyens la donnee b^(p(u)). On 
note cette operation CP(e(p(u))) sur les figures. Si on 
se reports a la figure 10 representant I'organigraxnme 
d^taille de la sequence SEQA d' execution des quatre 
tours Tl a T4 du premier groupe Gl, il s'agit done 
d'appliquer en entree de I'opferation SBOX des tours Tl 
et T4 une variable b©5(p(u)). L'operation 
supplementaire CP plus les deuxiemes moyens TC2 
Equivalent aux troisiemes moyens TC^ utilises dans le 
premier mode de realisation de 1' invention* 

On y gagne en temps de calcul, car 1 ' operation CP 
n'est exScutee que deux fois dans un groupe, soit 8 
fois pour une sequence SEQA complete sur les quatre 
groupes, alors que le calcul d'une table necessite de 
faire cette operation bffie(p{u)) pour toutes les donnSes 
d' entree de cette table. 

On notera que 1' operation QU EXCLUSIF 
supplementaire CP avec la variable e(p(u)) peut §tre 
placee en divers endroits des premiers et derniers 
tours, soit entre 1' operation EXP PERM et 1' operation 
XOR OU entre 1' operation XOR et 1' operation SBOX. 

On peut aussi remarquer que I'on peut utiliser une 
operation OU EXCLUSIF supplementaire CP avec la 
variable aleatoire derivee p{u) , en pla9ant cette 
operation supplementaire CP(p(u) avant 1' operation EXP 
PERM, On obtient en sortie l«fe(p(u)), et done on aura 
ensuite b©s(p(u) ) . 

Dans tous ces cas de figures, on obtient la donn§e 
b®fe(p(u)) en entree de 1' operation SBOX. 

La figure 11 represent e un troisieme exemple de 
realisation d'un procedS de contre-mesure selon 
1' invention. 
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Dans ce mode de realisation, on forme un premier 
groupe Gl avec les trois premiers tours Tl , T2 , T3 et 
un autre groupe G4 avec les trois derniers tours T14 , 
T15, T16. On applique sur chaque groupe la sequence 
5 d' execution SEQA avec les autres moyens pour certains 
tours au mo ins. 

Pour les autres tours non compris dans les groupes, 
c'est a dire pour les tours T4 a T13 , on applique les 
premiers moyens TCq. . 
10 En sortie de chaque groupe Gl, G4, on obtient le 

bon r4sultat en sortie L3, R3 et L16, R16, quelle que 
soit la variable al6atoire u tir6e. 

Les autres moyens sont dans I'exemple les 
troisiSmes moyens TC^^ dSja vus en relation avec le 
15 premier mode de realisation et des quatriemes moyens 



Ces quatriemes moyens sont calculus par rapport aux 
premiers moyens TCq en appliquant un OU EXCLUSIF sur la 
donnee E d' entree, avec la variable al^atoire derivSe 

20 e(p(u)). 

Ainsi, aprfes avoir tire la valeur aleatoire u, et 
calculfe la variable alSatoire d6riv6e, on calcule les 
differents moyens utilises dans la sequence d' execution 
SEQA. Puis on applique cette sequence SEQA sur le 

25 premier groupe. On obtient en sortie les parametres L3 , 
R3. On execute les tours suivants T4 a T13 avec les 
premiers moyens TCq. En fin de tour T13 , on applique la 
sequence SEQA sur le groupe G4. On obtient les 
parametres L16, R16 qui vont servir a calculer le 

30 message chiffre C. 

La figure 12 est un organigramme d6taill6 

correspondant . 

II apparait clairement sur cet organigramme que 
I'on obtient des donnees modifi^es al^atoirement pour 
35 toutes les instructions critiques de ces tours. Les 
donnSes L3 et R3 en sortie du troisifeme tour ne sont 
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pas modifiees, ce qui pertnet de continuer 1' execution 
de I'algorithme, en passant au tour T4 auquel on 
applique les premiers moyens TCq selon 1' execution 
normale de I'algorithme. 

Sur cette figure, on peut remarquer que dans 
1' operation SBOX du troisieme tour T3, on pourrait 
utiliser les premiers moyens TCq a la place des 
troisiemes moyens calcules TC^^, en prevoyant une 
operation OU EXCLUSIF supplement a ire CP en sortie de 
1' operation SBOX, pour faire un OU exclusif de la 
sortie avec la variable aleatoire u, pour obtenir la 
donnee a®a en entree de 1' operation XOR, C'est une 
solution equivalente . 

La figure 13 represente un organigramme d^ execution 
utilisant cette variante- Pour le troisieme tour des 
deux groupes Gl et G4 , on utilise dans la sequence 
d' execution SEQA, les premiers moyens TCq suivis en 
sortie de 1 'instruction OU EXCLUSIF supplementaire avec 
la variable u, ce qui est not6 T3(TCq, CP(u)). 

De maniere generale, dans le precede de contre- 
mesure selon 1' invention, on peut done pr§voir dans la 
sequence d' execution SEQA et pour un ou plusieurs 
tours, une instruction OU EXCLUSIF suppl6mentaire CP en 
entr§e ou en sortie des moyens utilises avec la 
variable u ou une variable aleatoire derivee p(u) ou 
e(P(u)) selon les cas. 

La presente invention s' applique a I'algorithme de 
cryptographie a cle secrete DES, pour lequel plusieurs 
exemples d' application non limitatifs ont ete decrits. 
II s' applique plus g^neralement a un algorithme de 
cryptographie ^ cle secrete ^ seize tours de calculs, 
dont les instructions critiques se situent parmi les 
instructions des trois premiers ou trois derniers 
tours . 

Un composant electronique 1 mettant en oeuvre un 
proc§d§ de contre-mesure selon 1' invention dans un 
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algorithme de cryptographie a cl6 secrete DES, comprend 
typiquement, comme represente sur la figure 10, un 
microprocesseur |iP, une meinoire programme 2 et une 
memoire de travail 3, Pour pouvoir gerer I'utilisation 

5 des differents moyens TCq, TC^^, selon I'invention, 

qui sont, en pratique, des tables de constantes 
memorisees en memoire programme, des moyens 4 de 
generation d'une valeur aleatoire entre 0 et 1, sont 
prevus qui, si on se reporte aux organigrammes des 

.0 figures 7 et 11, fourniront la valeur al6atoire u a 
chaque execution du DES. Un tel composant peut tout 
particuliferement #tre utilise dans une carte a puce 5, 
pour ameliorer son inviolability. 
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REVENDICATIONS 

1. Procfedfe de contre-mesure dans un coitiposant 
61ectronique mettant en oeuvre un algorithme 
cryptographique a cl6 secrete (K) , la mise en oeuvre de 
I'algorithme comprenant 1 'utilisation de premiers 
moyens (TCq) pour fournir une donnee de sortie (S) a 
partir d'une donnee d'entree (E) , la donnee de sortie 
et/ou des donnees derivees etant manipulees par des 
instructions critiques, caracterise en ce que le 
precede de contre-mesure prevoit 1' utilisation d'autres 
moyens (TC^^) , en sorte que la donnee de sortie et les 
donnSes deriveies soient impr^dictibles , ces autres 
moyens 6tant obtenus des dits premier moyens par une 
operation de OU EXCLUSIF avec une valeur alfeatoire (u) 
ou une valeur aleatoire derives (e(p(u))) sur I'une 
et/ou sur 1' autre des donnees d' entree et de sortie des 
dits premiers moyens. 

2 . Precede de contre-mesure selon la revendication 
1, la raise en oeuvre de I'algorithme comprenant seize 
tours de calcul (Tl, ... ,T16) , chaque tour utilisant 
des premiers moyens (TCq) pour fournir une donnee de 
sortie a partir d'une donnfee d' entree, la donnSe de 
sortie et/ou des donnees dSrivees etant manipulees par 
des instructions critiques dans les trois premiers (Tl, 
T2, T3) et les trois derniers tours (T14, T15, T16) , 
caracterise en ce que I'on forme un groupe (Gl) 
comprenant les trois premiers tours au moins et un 
autre groupe (G4) comprenant les trois derniers tours 
au moins, et en ce que I'on associe au premier groupe 
(Gl) et au dernier groupe (G4) une sequence d' execution 
(SEQA) utilisant les autres moyens (TC^, TC2) dans 
certains tours au moins. 
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3 . ProcSde de contre-mesure selon la revendication 

2, caracterise en ce que I'on forme quatre groupes 

(Gl,..-G4) de quatre tours successifs chacun (Tl, T4) 

et , en ce que I'on applique au moins au premier groupe 

5 (Gl) et au dernier groupe (G4) la dite sequence 
d' execution (SEQA) . 

4 . Procede de contre-mesure selon la revendication 

3, caracterise en ce que la dite sequence (SEQA) est 
10 executSe dans chacun des groupes (G1,...G4). 

5. ProcSdfe de contre-mesure selon la revendication 
2, caracterise en ce que la dite sequence d' execution 
(SEQA) est appliquee a un premier groupe (Gl) forme des 

15 trois premiers tours (Tl, T2 , T3) et a un dernier 
groupe form§ des trois derniers tours (T14, T15, T16) . 

6. Procede de contre-mesure selon I'une quelconque 
des revendications precedentes, caracterisS en ce que 

20 chaque execution de I'algorithme comprend le tirage 
d'une valeur aleatoire (u) , et le calcul des autres 
moyens . 

7. Precede de contre-mesure selon I'une quelconque- 
25 des revendications prececJentes , caract6ris§ en ce que 

les differents moyens sont des tables de constantes. 

8. Procede de contre-mesure selon I'une quelconque 
des revendications prec^dentes, caracterise en ce que 

30 les differents moyens sont utilises en combinaison ayec 
une operation OU exclusif supplementaire (CP) avec la 
valeur aleatoire ou une valeur dSrivee (p(u) , e(p(u))). 
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9. Composant electronique de securite mettant en 
oeuvre le proc§d6 de contre-mesure selon I'une 
quelconque des revendications pr6c6dentes, caracterise 
en ce que les premiers moyens (TCq), pour fournir une 

5 donnfee de sortie a partir d'une donnee d' entree sont 
fixes en memoire programme (1) du dit composant, les 
autres moyens (TC^^, ' TC2) etant calculus a chaque 
nouvelle execution de 1' algorithms et memorises en 
memoire de travail (3) et en ce qu'il comprend des 
10 moyens (4) de generation d'une valeur aleatoire (u) 
pour calculer les dits autres moyens. 

10. Carte a . puce comprenant un composant 
electronique de securite selon la revendication 9. 

15 
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